tugas sim

BAB 9KEAMANAN INFORMASI

Nama : Ade Setiawan (0211-11-109)Nama : Nuke Eka Mayasari (0211-11-112)

Dosen : Dr. Wonny Ahmad Ridwan, SE.MM,CPHR.

Fakultas EkonomiUnpak

Tujuan Belajar

Memahami kebuhan organisasi akan keamanan dan pengendalian

Memaham bahwa keamanan informasi berkaitan dengan keamanan semua sumberdaya informasi

Memahami tiga tujuan utama keamanan informasi Melihat hubungan yang logis antara ancaman,

resiko dan pengendalian Memahami apa saja ancaman keamanan yang

utama

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIA

Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.

KEAMANAN INFORMASI

Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terpukul secara eksklusif pada perlindungan perantik keras dab data, maka istilah keamanan sistem (Sistem security) pun di gunakan. Fokus sempit ini kemudian di perluas sehingga mencangkup bukan hanya perantik keras dan data, namun juga peranti lunak, fasilitas komputer, dan personel.

TUJUAN KEAMANAN INFORMASI

Kerahasian. Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.

Ketersediaan. Tujuannya dari infrastrukstur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.

Integritas. Semua sistem informasi harus memberikan representasi akurat dan atas sistem fisik yang direpresentasikannya.

MANAJEMEN KEAMANAN INFORMASI

Seperti halnya cakupan keamanan informasi telah meluas demikian juga pandangan akan tanggung jawab manajemen tidak hanya di harapkan untuk menjaga agar sumber daya informasi aman, namun juga di harapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi ( informatian security management – ISM )

Tolok ukur

Strategi Manajemen Keamanan InformasiMengindentifikasi ancaman

Mengidentifikasi resiko

Menentukan Kebijakan keamanan informasi

Menginplementasikan pengendali

an

Menginflementasikan

pengendalian

Menentukan kebijakan keamanan informasi

A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur

PENGUNGKAPAN INFORMASI YANG TIDAK TEROTORISASI DAN PENCURIAN

Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memilkiakses, hasinya dalah hilangnya informasi atau atau uang . Sebagai contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyeludupkan dana perusahaan.

ANCAMAN INFORMASI

Ancaman informasi adalah (information security tbreat) adalah orang organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi , adalah sesuatunyang di alami jika kita membayangkan beberapa kelomok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang di sengaja.

PERSOALAN E-COMMERCE

E-comerce (perdagangan elektronik) telah memperkenalkan suatu perusahaan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan perangkat lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para paritel e-commerce di bandingkan dengan para pedagang yang berusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini,

KARTU KREDIT “SEKALI PAKAI”

Pada september 2000, america ekspres mengumumkan sebuak kartu kredit “sekali pakai” tindakan yang ditunjukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengguanaa internet.

PRAKTIK KEAMANAN YANG DIWAJIBKAN OLEH VISA

1. Memasang dan memelihara firewall.

2. Memperbaharui keamanan.

3. Melakukan ekskripsi pada data yang di simpan.

4. Melakukan ekskripsi pada data yang di kirimkan.

5. Menggunakan dan memperbarui peranti lunak antivirus

6. Membatasi akses data kepada orang-orang yang ingin tahu.

MANAJEMEN RISIKO

1. Menganalisis kelemahan perusahaan tersebut.

2. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko.

3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.

4. Menyadari risikonya.

Fase 1 Inisiasi proyek

Fase 2 Penyusuna

n Kebijakan

Pihak-pihak yang berminat dan terpengaruh

Fase 3 Konsultasi

dan persetujua

n

Fase 5 Penyebarluas

an dan kebijakan

Fase 4 Kesadaran

dan pendidikan

Komite pengawas proyek keamanan

Tim proyek

Manajemen

Unit organisasi

Unit organisa

si

Konsultasi

Konsultasi

Pelatihan kesadaran dan edukuasi kebijakan

Kebijakan keamanan

Penetapan

PENGENDALIAN AKSES

1. Identifikasim pengguna. Para pengguna pertama mengidentifikasi mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi

2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka ketahui

3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk memasuki tingkat/derajat penggunaan tertentu

FIREWALL

Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.

Fungsi Firewallsebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan interner

internet

Fireewall

tingkat aplikasi

router

Firewall tingkat sirkuit

Jaringan internet

Firawall penyaring paket

komputer

Lokasi firewall di jaringan

PENGENDALIAN KRIPTOGRAFIS

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan

PENGENDALIAN FORMAL

Pengendalian formal mecangkup penemuan cara berprilaku, dokumentasi produsen dan praktik yang di harapkan. Pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya. Dokumentasikan dalam bentuk tulisan,

PENGENDALIAN INFORMAL

Pengendalian informal mencangkup program-program pelatihan dan edukasi serta program pembangunan dan manajemen. Pengendalian ini di tujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut

Pengendalian Kriptografisinformasi yang tersimpan dan ditranmisikan dapat dilindungi

dari pengungkapan yang tidak Terotorisasi dengan kriptografi.

Yaitu Penggunaan kode yang menggunakan proses- proses

matematika. Data dan informasi tersebut dapat dienkripsi

dalam penyimpanan dan juga ditranmisikan ke dalam

jaringan. Jika seseorang yang tidak memiliki Otorisasi

memperoleh akses, enkripsi tersebut akan membuat data dan

informasi yang dimaksud tidak berarti apa-apa dan mencegah

Kesalahan penggunaan.

PENGENDALIAN FISIK

Peringatan pertama terhadap gangguan yang tidak terotorisasi

adalah mengunci pintu ruangan komputer. Perkembangan

seterusnya menghasilkan kunci-kunci yang lebih canggih

yang dibuka dengan cetakan telapak tangan dan cetakan suara,

serta kamera pengintai dan alat penjaga keamanan.

Perusahaan dapat melaksanakan pengendaliian fisik hingga

Pada tahap tertinggi dengan cara menempatkan pusat

komputernya ditempat terpencil yang jauh darikota dan jauh

dari wilayah yang sensitif terhadap bencana alam seperti

gempa bumi, banjir, dan badai.

MELETAKAN PENGENDALIAN TEKNIS PADA TEMPATNYA

Pengendalian teknis dikenal sebagai yang

terbaik untuk keamanan.perusahaan biasanya

memilih dari daftar ini dan menetapkan

kombinasi yang dianggap menawarkan

pengamanan yang paling realistis.

PENGENDALIAN FORMAL

Pengendalian formal mencangkup penentuan

cara berperilaku, dokumentasi prosedur dan

pratik yang diharapkan, dan pengawasan serta

pencegahan perilaku yang berbeda dari panduan

yang berlaku. Pengendalian ini bersifat formal

karena manajemen menghabiskan banyak waktu

untuk menyusunnya mendokumentasikannya

dalam bentuk tulisan, dan diharapkan untuk

berlaku dalam jangka panjang.

PENGENDALIAN INFORMAL

Pengendalian informal mencangkup

program- program pelatihan dan edukasi serta

program pembangunan manajemen.

Pengendalian ini ditunjukan untuk menjaga

agar para karyawan perusahaan pemahami

serta mendukung program keamanan

tersebut.

MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT

Ke tiga jenis pengendalian teknis, formal,dan

informal mengharuskan biaya. Karena

Bukanlah merupakan praktik bisnis yang baik

untuk menghabiskan lebih banyak uang pada

pengendalian dibandingkan biaya yang

diharapkan dari resiko yang akan terjadi,

maka pengendalian harus ditetapkan pada

tingkatan yang sesuai.

Dengan demikian, keputusan untuk

mengendalikan pada akhirnya di buat

berdasarkan biaya versus keuntungan, tapi

dalam beberapa industri terdapat pula

pertimbangan-pertimbangan lain

DUKUNGAN PEMERINTAH DAN INDUSTRI

Beberapa organisasi pemerintahan dan

internasional telah menentukan standar-

standar yang ditunjukan untuk menjadi

panduan bagi organisasi yang ingin

mendapatkan keamanan informasi. Beberapa

standar ini berbentuk tolok ukur, yang telah

diidentifikasikan sebelumnya sebagai

penyedia strategi

alternatif untuk manajemen resiko. Beberapa

pihak penentu standar menggunakan istilah

baseline(dasar) dan Bukannya benchmark

(tolok ukur).Organisasi tidak diwajibkan

mengikuti standar ini. Namun, standar ini

ditunjukan untuk memberikan bantuan

kepada perusahaan dalam menentukan

tingkat target keamanan.

Berikut ini adalah beberapa contohnya: BS7799 milik inggris BSI IT Baseline Protection Manual Cobit GASSP ISF Standard Of Good Practice

PERATURAN PEMERINTAH

Pemerintah baik di amerika serikat maupun

inggris telah menentukan standar dan

menetapkan peraturan yang ditujukan untuk

menanggapi masalah pentinggnya keamanan

informasi yang makin meningkat,terutama

setelah peristiwa 9/11 dan semakin

memperluasnya internet serta peluang

terjadinya kejahatan komputer.

Beberapa diantaranya adalah: Standar keamanan komputer pemerintah

amerika serikat Undang- undang antiterorisme, kejahatan,

dan keamanan inggris (ATCSA)

STANDAR INDUSTRIThe center for internet security(CIS) adalah

organisasi nirlaba yang didedikasikan untuk

membantu para pengguna komputer guna

membuat sistem mereka lebih aman. Bantuan

diberikan melalui dua produk yaitu:

CIS Benchmarks dan CIS Scoring Tools.

 SERTIFIKASI PROFESIONALMulai tahun 1969-an, profesi IT mulai

menawarkan prorgam sertifikasi. Tiga contoh

berikut mengilustrasikan cakupan dari

program- program ini. Asosiasi Audit Sistem dan Pengendalian Konsorsium Sertifikasi Keamanan Sistem

Informasi Internasional Institut SANS

MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA

TEMPATNYAPerusahaan harus merancang kebijakan

manajemen keamanan informasi sebelum

menempatkan pengendalian. Kebijakan ini

dapat dibuat berdasarkanidentifikasi ancaman

atau resiko ataupun berdasarkan panduan

yang diberikan oleh pemerintah dan asosiasi

industri.

MANAJEMEN KEBERLANGSUNGAN BISNIS

Aktivitas yang ditujukan untuk menentukan

operasional setelah terjadi gangguan sistem

informasi disebut dengan manajemen

keberlangsungan Bisnis ( business continuity

management-BCM). Pada tahun-tahun awal

penggunaan komputer, aktifitas ini disebut

perencanaan besar (disaster planning),

namun istilah yang lebih positif, perencanaan

kontinjensi(contingency plan), menjadi

populer. Elemen penting dalam perencanaan

kontinjensi adalah rencana kontinjensi

(contingency plan), yang merupakan

dokumen tertulis formal yang menyebutkan

secara detail tindakan-tindakan yang harus

dilakukan jika terjadi gangguan,atau ancaman

gangguan pada operasi komputasi perusahaan

TERIMA KASIH

TERIMA KASIH